cNotes 検索 一覧 カテゴリ

インジェクション GNU GPL/CODE1

Published: 2009/12/24

最近流行っているインジェクションされているコードにGNU GPLやCODE1という文字列がコメントとして含まれていることが特徴のインジェクションについてです。

年末年始は対応が遅れがちで改竄された状態が残り続けてしまうのは危険ですね。


たとえばこんな難読化コードがインジェクションされています。

単純な難読化なので、例えばこのようなURLが抽出できます。実際には自動的にここにアクセスさせられます。

このURLに使われる文字列が特徴ですね。

 ocn.ne.jp
 google.com

などの一般サイト、有名サイトのドメイン文字列が利用されています。ocn.ne.jpがgoogle等と並び利用されている。。。。。

このURLにアクセスするとこのようなコードが仕込まれています。

これも単純な難読化なので簡単に解読できます。実際にはこのようなURLへアクセスに行かされます。

8080系ですね。

 ;HOMESALEPLUS.RU.               IN      A
 
 ;; ANSWER SECTION:
 HOMESALEPLUS.RU.        432     IN      A       95.211.4.193
 HOMESALEPLUS.RU.        432     IN      A       95.211.10.130
 HOMESALEPLUS.RU.        432     IN      A       82.192.88.35
 HOMESALEPLUS.RU.        432     IN      A       94.23.4.164
 HOMESALEPLUS.RU.        432     IN      A       94.23.14.110
 
 ;; AUTHORITY SECTION:
 HOMESALEPLUS.RU.        432     IN      NS      ns2.HOMESALEPLUS.RU.
 HOMESALEPLUS.RU.        432     IN      NS      ns4.HOMESALEPLUS.RU.
 HOMESALEPLUS.RU.        432     IN      NS      ns1.HOMESALEPLUS.RU.
 HOMESALEPLUS.RU.        432     IN      NS      ns3.HOMESALEPLUS.RU.
 
 ;; ADDITIONAL SECTION:
 ns1.HOMESALEPLUS.RU.    432     IN      A       216.155.130.212
 ns2.HOMESALEPLUS.RU.    432     IN      A       193.231.3.7
 ns3.HOMESALEPLUS.RU.    432     IN      A       64.186.131.38
 ns4.HOMESALEPLUS.RU.    432     IN      A       72.249.191.123
 domain:     HOMESALEPLUS.RU
 type:       CORPORATE
 nserver:    ns1.hostserverdirect.com.
 nserver:    ns2.hostserverdirect.com.
 nserver:    ns3.hostserverdirect.com.
 nserver:    ns4.hostserverdirect.com.
 state:      REGISTERED, DELEGATED, VERIFIED
 person:     Private Person
 registrar:  NAUNET-REG-RIPN
 created:    2009.11.22
 paid-till:  2010.11.22
 source:     TCI

[カテゴリ:インジェクション観察日記]

by jyake